KR20200054495A - 보안관제 서비스 방법 및 그를 위한 장치 - Google Patents

보안관제 서비스 방법 및 그를 위한 장치 Download PDF

Info

Publication number
KR20200054495A
KR20200054495A KR1020180137817A KR20180137817A KR20200054495A KR 20200054495 A KR20200054495 A KR 20200054495A KR 1020180137817 A KR1020180137817 A KR 1020180137817A KR 20180137817 A KR20180137817 A KR 20180137817A KR 20200054495 A KR20200054495 A KR 20200054495A
Authority
KR
South Korea
Prior art keywords
security
security risk
event
control service
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020180137817A
Other languages
English (en)
Inventor
공병철
Original Assignee
주식회사 에스링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에스링크 filed Critical 주식회사 에스링크
Priority to KR1020180137817A priority Critical patent/KR20200054495A/ko
Publication of KR20200054495A publication Critical patent/KR20200054495A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Tourism & Hospitality (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • Primary Health Care (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

보안관제 서비스 시스템은, 정보시스템에 접속 시도 또는 접속하여 보안 이벤트를 발생시키는 단말; 관리 단말; 및 상기 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하고, 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하여, 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하고, 그 결과를 상기 관리 단말에 보고하고, 보안 데이터를 업데이트하는 보안관제 서비스 장치;를 포함하는 것을 특징으로 한다.

Description

보안관제 서비스 방법 및 그를 위한 장치{METHOD FOR SECURITY OPERATION SERVICE AND APPARATUS THEREFOR}
본 발명은 보안관제 서비스에 관한 것으로, 보다 상세하게는 상기 정보시스템의 보안위협요소의 실시간 정보를 모니터링하는 시스템, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 서비스 방법 및 그를 위한 장치에 관한 것이다.
기술이 발전하고 그에 따라 많은 사회 기반 시스템이 디지털화되어 가고 있다. 이러한 디지털 시스템의 기술 발전은 편리함을 제공하는 반면 바이러스나 해킹으로 인한 보안 위협에 대한 우려가 점차 증가하고 있다.
특히, 인터넷 등 통신망을 통해 몰래 들어와 정보시스템을 교란하거나 마비시키는 해킹은 날로 지능화되고 고도화되고 있다.
관련하여, 일반 기업체에 비하여 상대적으로 지방자치단체나 공공기관의 정보시스템은 이러한 해킹에 취약하고 빠르게 대응하지 못해 많은 피해를 입고 있다.
이러한 지방자체단체나 공공기관의 정보시스템에 대한 해킹 피해는 공공의 이익이나 그와 관련된 정보로 인하여 다양하고 방대할 수 있어 더욱 문제가 될 수 있다.
따라서, 지방자체단체나 공공기관의 정보시스템에 대한 보안 시스템 마련이 절실히 요구되고 있는 실정이다.
본 발명의 일 과제는, 지방자치단체나 공공기관의 정보시스템에 대한 보안위협요소 실시간 정보 모니터링, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 서비스 방법을 제공하는 것이다.
본 발명의 다른 과제는, 상기 보안관제 서비스 방법 제공을 위한 장치 내지 시스템을 제공하는 것이다.
본 발명에서 이루고자 하는 기술적 과제들은 상기 기술적 과제로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상술한 문제점을 해결하기 위한 본 발명의 일실시예에 따른 보안관제 서비스 방법은, 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하는 단계; 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하는 단계; 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하는 단계; 및 결과를 관리 단말에 보고하고, 보안 데이터를 업데이트하는 단계;를 포함하여 이루어지는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 보안 위험 차단 단계는, 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 보안 이벤트에 대한 블랙 리스트를 저장하는 단계;를 더 포함하되, 상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 한다.
본 발명의 일실시예에 따른 보안관제 서비스 시스템은, 정보시스템에 접속 시도 또는 접속하여 보안 이벤트를 발생시키는 단말; 관리 단말; 및 상기 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하고, 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하여, 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하고, 그 결과를 상기 관리 단말에 보고하고, 보안 데이터를 업데이트하는 보안관제 서비스 장치;를 포함하는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 상기 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하고 리턴되는 지시에 따라 보안관제 서비스를 수행하는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 한다.
본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 보안 이벤트에 대한 블랙 리스트를 저장하고, 상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 한다.
상기와 같은 본 발명에 따르면 아래에 기재된 효과를 얻을 수 있다. 다만, 본 발명을 통해 얻을 수 있는 효과는 이에 제한되지 않는다.
첫째, 본 발명에 따르면, 지방자치단체나 공공기관의 정보시스템에 대한 보안위협요소 실시간 정보 모니터링, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 서비스 방법을 제공할 수 있는 효과가 있다.
둘째, 본 발명에 따르면, 상기 보안관제 서비스 방법 제공을 위한 장치 내지 시스템을 제공할 수 있는 효과가 있다.
도 1은 본 발명의 일실시예에 따른 실시간 보안 모니터링 및 보안관제시스템의 개략도이다.
도 2는 본 발명의 일실시예에 따른 모니터링/보안관제 서비스 서버단의 구성요소를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 보안관제시스템의 영상 시스템 구성도이다.
도 4는 본 발명의 일실시예에 따른 보안관제 방법을 설명하기 위해 도시한 순서도이다.
도 5는 본 발명의 일실시예에 따른 보안관제장치의 구성을 설명하기 위해 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 보안관제 종합 상황실의 실제 구현 모습을 도시한 도면이다.
도 7은 본 발명의 일실시예에 따른 개인용 단말기의 실제 구현 모습을 도시한 도면이다.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다.
단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전히 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
몇몇의 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다. 또한, 본 명세서 전체에서 동일한 구성요소에 대해서는 동일한 도면 부호를 사용하여 설명한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "?부"의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 나아가, "일(a 또는 an)", "하나(one)", 및 유사 관련어는 본 발명을 기술하는 문맥에 있어서 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
아울러, 본 발명의 실시예들에서 사용되는 특정(特定) 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
본 명세서에서는 본 발명에 따른 정부, 지방자치단체나 공공기관(이하, '공공기관')의 정보시스템에 대한 보안위협요소 실시간 정보 모니터링, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 방법, 및 그를 위한 장치 내지 시스템에 대하여 기술한다.
한편, 본 발명은 상향식(bottom up) 방식으로 보안 이벤트를 탐지하고, 탐지된 결과에 기초하여 보안관제 서비스를 제공할 수 있다. 이러한 상향식 보안관제 서비스에 따르면, 보안관제 서비스의 메인 서버에 대한 공격이 아닌 공공기관의 정보시스템을 구성하는 각 노드(node) 내지 링크(link) 단위에 대한 보안 이벤트 발생에 즉각적으로 대응할 수 있어, 보안 위험에 보다 효과적으로 대응할 수 있어 보안 위험에 따른 피해를 최소화할 수 있다.
도 1은 본 발명의 일실시예에 따른 실시간 보안 모니터링 및 보안관제시스템(100)의 개략도이다.
도 1을 참조하면, 실시간 보안 모니터링 및 보안관제시스템(100)은, 적어도 하나의 단말(110)과 모니터링/보안관제 서비스 서버단으로 구성된다.
상기 단말(110)은, 공공기관 정보시스템에 접속 시도 또는 접속하는 장치를 통칭한다. 여기서, 상기 단말(110)은 비단 외부에서 상기 공공기관 정보시스템에 접속하는 장치뿐만 아니라 내부 인트라넷 등을 통하여 정보시스템을 이용하는 장치도 포함하는 의미일 수 있다.
실시예에 따라, 상기 단말(110)로, 단말 장치, 터미널(Terminal), MS(Mobile Station), MSS(Mobile Subscriber Station), SS(Subscriber Station), AMS(Advanced Mobile Station), WT(Wireless terminal), MTC(Machine-Type Communication) 장치, M2M(Machine-to-Machine) 장치, D2D 장치(Device-to-Device) 장치 중 적어도 하나를 예시할 수 있다. 구체적인 예로, 상기 단말(110)은, 휴대폰, 스마트폰, 태블릿 PC, 개인용 PC, 노트북 등이 될 수 있다.
또한, 전술한 단말은 어디까지나 이는 예시에 불과할 뿐이며, 본 발명에서의 단말은 상술한 예시들 이외에도 현재 개발되어 상용화되었거나 또는 향후 개발될 데이터 또는 신호 전송이 가능한 모든 장치를 포함하는 개념으로 해석되어야 한다.
상기 모니터링/보안관제 서비스 서버단은, 보안위험 탐지모듈(120), 보안위험 분석모듈(130), 보안위험 차단모듈(140), 모니터링 시스템(150) 및 보안지원모듈(160)을 포함하여 구성된다.
다만, 본 발명이 이에 한정되는 것은 아니며, 필요한 경우 모듈이 추가되거나 전술한 적어도 둘 이상이 모듈이 하나의 모듈로 구현되거나 일부 모듈이 생략될 수도 있다.
상기에서, 보안위험 탐지모듈(120)은 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS) 등을 기반으로 공공기관 정보시스템에 대한 다양한 형태의 보안 이벤트를 탐지하고 수집한다.
여기서, 상기 보안 이벤트라 함은, 상기 단말(110)의 접속에 따른 다양한 접속 및 접속 시도 이벤트로부터 보안 위험과 관련된 이벤트만을 지칭할 수 있다. 한편, 상기 보안 위험과 관련된 이벤트는, 보안 시스템을 제공하는 서비스 제공업자(service provider)에 의해 제공되거나 업데이트(update)되는 데이터에 기초하여 판단될 수 있다.
또한, 보안위험 탐지모듈(120)은 상기 탐지 및 수집된 보안 이벤트로부터 공공기관 정보시스템에 실질적으로 위협이 되거나 위협 우려가 있는 즉, 상기 공공기관 정보시스템에 피해를 줄 수 있는 보안위험요소들을 탐지하여 분류한 뒤 이를 보안위험 분석모듈(130)로 전달한다.
상기 보안위험 탐지모듈(220)은 공공기관 정보시스템에 접속하는 단말(110)의 액세스 즉, 접속, 로그인, 요청, 결과 수신 등 상기 단말(110)의 액션에 대하여 탐지하고 이의 보안 위험 여부를 판단하여 그에 관한 결과 데이터를 상기 보안위험 분석모듈(130)로 전달한다.
상기 보안위험 분석모듈(130)은 실시간 모니터링 시스템(160)을 지원하며, 상기 보안위험 탐지모듈(120)을 통해 수집된 각종 보안 이벤트에 대한 분석을 수행한다.
상기 보안위험 분석모듈(130)은 각종 보안 이벤트에 대한 분석 결과에 기초하여 해당 보안 이벤트의 보안 위험 레벨을 판단하고, 상기 판단된 보안 위험 레벨에 따라 보안 위험 차단 여부에 대한 데이터를 생성하여 보안위험 차단모듈(140)과 실시간 모니터링 시스템(150)에 보고할 수 있다.
보안위험 차단모듈(140)은 보안위험 분석모듈(130)의 결과 데이터에 기초하여 보안 위험을 차단한다. 이를 위해 상기 보안위험 차단모듈(140)은 모니터링 시스템(150)의 제어에 따라 동작될 수 있다.
상기 보안위험 차단모듈(140)은, 방화벽, 침입탐지시스템(IDS), 침입차단시스템(IPS), 취약점분석시스템, 안티바이러스시스템, 서버보안시스템, 가상사설망(VPN; Virtual Private Network) 등의 다수 보안 솔루션을 하나로 모은 통합보안관리서비스시스템(ESM: Enterprise Security Management)일 수 있다.
상기 모니터링 시스템(150)은, 상기 판단된 보안 위험 레벨 및 보안 위험 여부에 따라 해당 보안 이벤트에 대해 계속 모니터링 여부를 판단한다.
상기 계속 모니터링 여부 판단은 예를 들어, 보안 위험 여부 및 보안 위험 레벨이 미리 정의된 임계치 미만이어서 보안 위험 차단이나 보안관제를 수행하기 보다는 미리 정한 시간 동안 계속하여 모니터링을 수행하여 추가 보안 이벤트를 수집하여 보안 위험 여부 및 보안 위험 레벨 판단 또는 모니터링 여부를 재판단하기 위함이다.
여기서, 상기 판단 또는 재판단 결과에 따라 상기 보안 위험 여부 및 보안 위험 레벨이 미리 정의된 임계치를 초과한 경우에는 보안 위험 차단 또는 보안관제를 수행한다.
상기 보안 위험 차단 또는 보안관제 실시 경우에는, 미리 정의된 관리 단말(도 5의 관리 단말 1(520), 관리 단말2(530) 중 적어도 하나)에 관리 상황 발생 이벤트를 보고하고 상기 보안 위험 차단 또는 보안관제 수행 여부에 대한 지시(리턴)를 수신하여 그에 따라 동작한다.
보안지원모듈(160)은, 상기 모니터링/보안관제 서비스 서버단의 보안을 위한 다양한 소스 등을 지원한다. 여기서, 상기 보안지원모듈(160)은 편의상 도 1에서는 상기 모니터링/보안관제 서비스 서버단의 내부 구성요소로 도시하였으나, 반드시 이에 한정되는 것은 아니며, 외부의 보안지원 구성일 수도 있다. 상기 보안지원모듈(160)은 보안 이벤트 분석 결과를 반영하여 지속적인 보안 업데이트를 수행하고, 상기 공공기관의 정보시스템에 실제 보안 이벤트가 발생하지 않더라도 외부 기관 등의 보안 위협이나 보안 이벤트에 대한 정보를 수집하고 미리 예방 및 대응하기 위한 다양한 지원을 제공할 수 있다.
본 명세서에서 기술되는 보안관제 서비스는 노드 또는 링크 단위로 상기 모니터링/보안관제 서비스 서버단의 동작이 수행될 수 있다.
도 2는 본 발명의 일실시예에 따른 모니터링/보안관제 서비스 서버단의 구성요소를 도시한 도면이다.
도 2를 참조하면, 모니터링/보안관제 서비스 서버단은, 통신부(210), 정보 자산 데이터 처리부(220), 보안 데이터 처리부(230), 보안 분석부(240), 보안 관리부(250), 제어부(260) 및 데이터베이스(270)를 포함하여 구성될 수 있다.
상기 통신부(210)는 외부 단말(110)과의 데이터 통신뿐만 아니라 내부 구성요소들 사이의 데이터 통신을 지원한다. 여기서, 내부 구성 요소들에는 후술하는 도 5의 터미널(510)과 관리 단말들(520,530)을 포함한다.
상기 정보 자산 데이터 처리부(220)는, 공공기관 정보시스템의 정보 자산 데이터에 대한 요청 등을 처리한다.
실시예에 따라, 상기 정보 자산 데이터 처리부(220)는 다양한 IP 정보를 기록하고 갱신하여 관리하는 네트워크를 통해 접속 가능한 웹 사이트 즉, 웹 사이트를 통해 접속 가능한 정보 자산 데이터를 처리하고, 이러한 정보 자산에 대한 접근을 위하여 ID와 패스워드 등에 의해 접근 가능한 대상자의 정보 자산 요청, 정보 자산 액세스 등에 대한 처리를 한다.
보안 데이터 처리부(230)는 상기 정보 자산 데이터 처리부(220)의 로그인 정보와 보안 이벤트 정보, 트래픽 정보 등 정보시스템의 데이터 서버에 대한 각종 로그 데이터를 포함하여 보안 이벤트를 수집한다.
실시예에 따라, 상기 보안 데이터 처리부(230)는 방화벽(VPN), 침입탐지시스템(IDS), 침입방지시스템(IPS), 바이러스 백신, 보안 패치 등과 같은 다양한 보안관제 서비스 솔루션에 근거하여 상기 정보 자산 데이터 처리부(220)에 대한 보안 이벤트를 수집하고 처리한다.
보안 분석부(240)는 상기 보안 데이터 처리부(230)가 수집하는 로그 데이터로부터 접근 통제, 위협 정보, 유해 정보, 패치 정보, 안티바이러스 통계 정보 등 보안 이벤트를 분석한다.
실시예에 따라, 상기 보안 분석부(240)는, 정보 자산에 위험을 주는 위협 정보와 유해정보를 수집 및 분석하고 침해의 영향을 확인하여 위험 수준을 주기적으로 업데이트하고, 보안 이벤트와 위험 정보와 유해 트래픽 정보를 수집하고 소정 시간 단위로 축약하여 활용 가능하게 변환하며, 인프라 관리, 위험 취약점 관리, 및 위험 관리를 담당할 수 있다.
실시예에 따라, 상기 보안 분석부(240)는 상기 보안 데이터 처리부(230)가 수집한 보안 이벤트와 유해 정보와 위협 정보 등으로부터, 접근이 통제된 부당 대상자의 접속 시도 정보와 보안 패치의 설치 정보와 안티바이러스가 설치된 통계 정보를 수집하고, 피해 발생 가능성이 있는 위험 정보와 해킹 시도 행위의 가능성이 있는 침해 정보를 분석하여 최적의 대응 방안을 제시한다.
실시예에 따라, 상기 보안 분석부(240)는, 하드웨어(H/W), 소프트웨어(S/W) 등으로 구성되어 정보 또는 보안 자산을 등록하며, 상기 정보 또는 보안 자산의 가치를 평가하는 정보 또는 보안 자산 관리하고, 보안 위험을 관리하는 보안 위험 유형 관리, 보안 위험 발생 빈도와 정보시스템에 대한 보안 위험 영향도를 분석하고, 정보 보안 시스템의 보안 취약성 분석 결과에 연계되는 위험 분석, 보안 취약성 분석하고 히스토리를 관리하는 보안 관리를 수행하고, 보안 평가 기준을 관리하고 보안 대책을 적용하며 정보시스템에 대한 보안 위험을 관리하는 위험 관리, 보안 위험 현황에 대한 통계 분석 등을 수행할 수 있다.
상기 보안 관리부(250)는, 상기 보안 분석부(240)에서 분석된 정보로부터 위험 여부를 판단하고, 해킹이나 침해 사고 접수 및 그 이력을 관리한다.
실시예에 따라, 상기 보안 관리부(250)는, 위험 정보의 빈도, 교차, 상관관계 등을 분석하여 외부 침해 시도와 위험 발생 현황, 보안 패치와 안티바이러스 설치 현황 정보를 검출하고, 외부로부터의 침해 사고 신고와 보안 현황 정보를 수집하고 침해 사고 탐지와 대응을 분석하고 이력을 관리하며, 실시간 예보, 실시간 경보 및 운영 관리를 담당할 수 있다.
실시예에 따라, 상기 보안 관리부(250)는, 공공기관 정보시스템에 대한 보안 이벤트의 발생을 실시간 모니터링하며 보안 성능을 실시간 모니터링하는 실시간 관리, 보안 이벤트 정보를 분석하며 보안 데이터 정보를 검색하고 통계를 보고하는 정보 분석을 수행하고, 정보 자산에 대한 침해의 위험 수준을 탐지하고 보안 이슈를 탐지하고, 침해 공격을 탐지하여 분석하고, 전체 트래픽 대비 보안 위험 트래픽을 분석하고 정보 자산 서비스별 트래픽을 분석하며 기관별 트래픽을 분석하는 트래픽 분석을 수행하고 최적의 대응 방안을 제시한다.
상기 보안 관리부(250)는 또한, 정보 자산을 관리하고 정보 자산에 대한 접근 사용자를 관리하며 보안 환경 설정을 관리하고 보안 이벤트 이력을 관리하고, 정보 수집 대상 관리, 보안 이벤트 및 시스템 로그 정보를 포함하여 다양한 정보를 수집하고, 보안 이벤트를 관리하고 미리 정의된 보안 위험 레벨에 따라 보안 이벤트를 필터링하여 보안 이벤트를 분리할 수 있다.
상기 제어부(260)는 상기 보안 관리부(250)가 분석한 보안 위험에 대하여 관리하고 모니터링/보안관제 서비스 서버단을 전체적으로 제어한다.
실시예에 따라, 상기 제어부(260)는 상기 보안 관리부(250)가 분석한 위험과 보안 침해 발생 현황을 포함하여 전반적인 보안 상황을 파악할 수 있도록 데이터 제어를 하고 도 5의 관리 단말(520,530)에 관련 보안 정보를 제공한다.
상기 데이터베이스(270)는 공공기관 정보시스템의 다양한 정보 자산뿐만 아니라 상기 정보 자산의 보호를 위한 각종 보안 데이터를 저장한다.
도 3은 본 발명의 일실시예에 따른 보안관제시스템의 영상 시스템 구성도이다.
도 3은 예컨대, 전술한 도 1과 2에 의해 처리된 보안관제시스템 데이터를 제공하는 단말 즉, 영상 시스템에 대한 구성도로 볼 수 있다.
도 3을 참조하면, 네트워크(310)를 통해 복수의 소스들로부터 데이터가 단말의 디스플레이(320)로 전달될 수 있다.
여기서, 상기 네트워크(310)는 전술한 유/무선 네트워크들 중 적어도 하나이며, 편의상 영상 소스의 데이터 통신을 위한 TCP/IP를 예로 하나 본 발명이 이에 한정되는 것은 아니다.
한편, 복수의 소스들과 단말 사이의 각 네트워크(310)는 각각 상이할 수 있다.
도 3에서는 예를 들어, Source 1 내지 Source 4까지 4개의 소스들이 4개의 채널 각각을 통하여 단말과 연결되었다.
이때, 각 소스를 통해 제공되는 보안관제시스템 데이터는 단말의 성능을 고려하여 동시에 처리되어 디스플레이(320)를 통해 동시에 제공될 수도 있으나, 이시에 개별 처리되고 개별로 제공될 수도 있다. 후자의 경우, 도 3의 디지털 매트릭스 스위처(Digital Matrix Switcher)(330)를 통해 각 소스 데이터의 처리가 결정될 수 있다.
도 3에 도시된 단말의 디스플레이(320)는 화면을 분할하여, 분할된 각 화면을 통하여 각 소스로부터 수신된 보안관제시스템 데이터를 출력할 수 있다. 실시예에 따라, 분할된 모든 화면이 반드시 보안관제시스템 데이터를 출력할 필요는 없다.
한편, 도 3에 도시된 단말은, 반드시 디스플레이와 일체형일 필요는 없고 디스플레이 외의 실제 단말 처리 장치(편의상, 프로세서)(340)는 원격에 위치하여 리모컨이나 RS-232C를 통하여 데이지 체인(daisy chain)을 구성하여 상기 디스플레이를 제어할 수도 있다.
따라서, 도 3에서는 편의상 각 소스에 처리된 보안관제시스템 데이터가 바로 디스플레이로 전송되는 것으로 도시하였으나, 반드시 이에 한정되지 않는다.
이러한 도 3의 보안관제시스템의 영상 시스템의 구현 예시로 도 6과 7을 예시할 수 있다.
도 6은 본 발명의 일실시예에 따른 보안관제 종합 상황실의 실제 구현 모습을 도시한 도면이고, 도 7은 본 발명의 일실시예에 따른 개인용 단말기의 실제 구현 모습을 도시한 도면이다.
도 6과 7에서도 실시예에 따라 각 단말은 단지 개별 디스플레이 기능만을 수행하고 프로세서(340)는 원격에 위치할 수도 있고, 반대로 상기 각 단말에 각각 프로세서가 구비되어 다양한 데이터를 처리하고 그렇게 처리된 데이터가 통합 디스플레이를 통해 제공될 수도 있다.
다만, 본 발명은 반드시 도 3, 도 6 및 도 7에 도시된 바에 의해 한정되는 것은 아니다.
도 4는 본 발명의 일실시예에 따른 보안관제 방법을 설명하기 위해 도시한 순서도이다.
도 4를 참조하면, 모니터링/보안관제 서비스 서버단은 단말(110)의 접속 시도 또는 접속에 따라 공공기관의 정보시스템에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지한다(S401).
실시예에 따라, 상기 S401 단계는 노드 또는 링크 단위로 수행될 수 있다.
모니터링/보안관제 서비스 서버단은 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하고 보고한다(S402).
모니터링/보안관제 서비스 서버단은 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단한다(S403).
모니터링/보안관제 서비스 서버단은 상기 S403 단계의 결과를 보고하고, 보안 데이터를 업데이트한다(S404).
상기에서, 모니터링/보안관제 서비스 서버단은 보안 위험 차단을 위해 보안지원모듈(160)을 통하여 탐지된 보안 이벤트와 관련하여 그에 따른 보안 위험 해소를 위해 필요한 보안 데이터(예를 들어, 보안 패치 등)를 다운로드 또는 업데이트할 수 있다.
또는, 상기 모니터링/보안관제 서비스 서버단은 보안 위험 차단을 위해 보안지원모듈(160)을 통하여 미리 다운로드 또는 업데이트된 보안 데이터가 저장된 보안 데이터베이스로부터 관련 보안 데이터를 추출하고, 그를 이용하여 상기 보안 위험 차단을 수행한다. 이 경우, 상기 보안 데이터 업데이트 후에 보안관제 서비스를 수행할 때, 우선순위를 최근 보안 업데이트된 데이터를 우선하여 체크함으로써 최신 보안 이슈에 빠르게 대응할 수 있도록 지원한다.
상기 모니터링/보안관제 서비스 서버단은 상기 S403 단계 수행시에 미리 도 5의 관리 단말(520,530) 중 적어도 하나에 보고하고, 보고 후 상기 관리 단말(520,530)의 지시에 따라 이루어질 수 있다.
또한, 상기 S403 단계의 보안 위험 차단 수행 결과를 도 5의 관리 단말(520,530)에 보고하여 추후 보안 위험 시도나 위협에 대응하도록 도울 수 있다.
상기 보안 위험 이벤트 탐지 및 보안 위험 차단 결과 보고 시에, 모니터링/보안관제 서비스 서버단은, 관리 단말(520,530)에서 보안 위험에 대하여 보다 직관적으로 보안 위험을 탐지하고 그에 대처하여 지시할 수 있도록 그래픽(graphic), 테이블(table), 표 등의 형태로 보고하고 그를 위한 인터페이스를 제공할 수 있다.
상기 모니터링/보안관제 서비스 서버단은, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집할 수 있다.
여기서, 상기 모니터링/보안관제 서비스 서버단은, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단할 수 있다.
이때, 상기 모니터링/보안관제 서비스 서버단은, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제할 수 있다.
다만, 상기 모니터링/보안관제 서비스 서버단은, 상기 재판단 결과 보안 위험 레벨이 상기 임계치 이상이면, 해당 보안 위험 이벤트에 대하여 상기 관리 단말(520,530)에 보고하고 보안 위험 차단을 한다.
상기에서, 설명의 편의를 위하여, 일단 보안 위험 이벤트로 분리된 보안 이벤트에 대하여 보안 위험 레벨의 재판단은 1번만 수행하고 계속하여 상기 임계치 미만이면 해당 보안 위험 이벤트의 속성을 보안 위험 레벨에서 해제하는 것으로 기술하였으나, 반드시 이에 한정되는 것은 아니다. 예컨대, 상기와 같은 보안 위험 이벤트는 비록 상기와 같이 보안 속성을 변경하더라도 이를 데이터베이스(270)에 기록하고, 추후 해당 보안 이벤트가 재차 탐지되면, 다른 보안 위험 이벤트에 비하여 재판단을 위한 기준을 더욱 엄격하게 판단할 수 있다.
실시예에 따라, 데이터베이스(270)는 미리 보안 위험 이벤트에 대한 데이터(블랙 리스트)를 저장 및 업데이트하고, 보안 이벤트 중 상기 블랙 리스트에 해당하는 보안 이벤트는 우선하여 보안 위험 이벤트로 분리하고, 이렇게 분리된 보안 위험 이벤트는 보안 위험 레벨 판단 기준인 임계치를 다른 보안 위험 이벤트에 비하여 낮출 수 있다.
실시예에 따라, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨을 판단하지 않거나 보안 위험 이벤트에 대하여 관리 단말(520,530)에 보고하되, 상기 관리 단말(520,530)의 지시가 없더라도 자동으로 보안 위험 차단을 수행할 수 있다.
실시예에 따라, 상기 블랙 리스트에 해당하지 않았던 보안 이벤트로부터 보안 위험이 제기되거나 미리 정의된 횟수 이상 보안 위험 이벤트로 관리되면, 해당 보안 이벤트는 상기 블랙 리스트에 추가할 수 있다.
실시예에 따라, 상기 블랙 리스트에 포함되지 않았으나, 관련 기관이나 전문 기관 등에서 경고나 보안 사고가 발생한 보안 이벤트에 대해서는 일시적으로 상기 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하거나 상기 블랙 리스트에 일시 추가할 수 있다.
실시예에 따라, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 선 보안 위험 차단 후 그 결과와 함께 보안 위험 이벤트에 대하여 관리 단말(520,530)에 보고할 수도 있다.
실시예에 따라, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 상기 재판단 기준을 더욱 강화하여 횟수나 빈도를 최초 판단시보다 강화할 수 있다.
실시예에 따라, 상기 보안 위험 이벤트 또는 상기 블랙 리스트에 해당하는 보안 위험 이벤트에 보안 위험 레벨 판단과 재판단 기준은 상이하게 설정할 수 있다. 예를 들어, 최초 보안 위험 레벨 판단을 위한 제1 임계치보다 보안 위험 레벨 재판단을 위한 제2 임계치를 더욱 낮추어 보안 위험 이벤트에 대응할 수 있다.
실시예에 따라, 공공기관 정보시스템에 대한 정기 또는 비정기로 보안 위험 레벨 판단을 위한 임계치를 상이하게 적용할 수 있다. 예를 들어, 정기적으로 정보시스템에 대한 보안 점검일의 경우에는 보안 위험 이벤트로 분리되지 않은 보안 이벤트에 대해서도 평소보다 높은 엄격성 즉, 낮은 임계치를 적용하거나 보안 위험 레벨 판단을 여러 번 수행하여 보안 점검을 수행할 수 있다.
실시예에 따라, 미리 정의된 일 내에 보안 위험 차단 횟수나 빈도가 일정 횟수 이상이면, 그로부터 일정 기간 동안 임의로 보안 위험 레벨 판단을 위한 임계치를 평소 임계치와 상이하게 적용할 수도 있다.
도 5를 참조하면, 각 터미널 1 내지 n(여기서, n은 양의 정수)(510)은 상기 모니터링/보안관제 서비스 서버단의 보안 이벤트 탐지 결과, 보안 위험 분석 결과, 보안 위험 차단 결과, 보안관제 서비스 결과 등에 대한 다양한 데이터를 출력할 수 있다.
또한, 상기 터미널(510)의 출력 결과는 주기/비주기로 상기 관리 단말(520,530)으로 보고되고, 그 지시를 수신하여 출력할 수 있다.
한편, 상기 각 터미널 1 내지 n은, 각 노드 예를 들어, 공공기관 정보시스템의 데이터베이스, 메일 서버, 로그 서버 등에 대응하여 해당 정보에 대한 보안 이벤트를 감지 결과를 출력할 수도 있다.
본 발명의 다른 일실시예에 따른 보안관제 서비스 방법은, 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하는 단계; 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하는 단계; 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하는 단계; 및 결과를 관리 단말에 보고하고, 보안 데이터를 업데이트하는 단계;를 포함하여 이루어지되, 상기 보안 위험 차단 단계는, 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하는 단계를 더 포함하여 이루어지고, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하고, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하며, 보안 이벤트에 대한 블랙 리스트를 저장하는 단계;를 더 포함하되, 상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 한다.
한편, 상술한 방법은, 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터 판독 가능 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 또한, 상술한 방법에서 사용된 데이터의 구조는 컴퓨터 판독 가능 매체에 여러 수단을 통하여 기록될 수 있다. 본 발명의 다양한 방법들을 수행하기 위한 실행 가능한 컴퓨터 코드를 저장하는 컴퓨터 판독 가능 매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬, DVD 등)와 같은 저장 매체를 포함한다.
본원 발명의 실시예들과 관련된 기술 분야에서 통상의 지식을 가진 자는 상기 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로, 개시된 방법들은 한정적인 관점이 아닌 설명적 관점에서 고려되어야 한다. 본 발명의 범위는 발명의 상세한 설명이 아닌 특허청구 범위에 나타나며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
본 발명인 보안관제 서비스에 관한 것으로, 그를 위한 장치 및 시스템에 용하는 것이 가능하다.

Claims (10)

  1. 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하는 단계;
    상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하는 단계;
    상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하는 단계; 및
    결과를 관리 단말에 보고하고, 보안 데이터를 업데이트하는 단계;
    를 포함하여 이루어지는 보안관제 서비스 방법.
  2. 제1항에 있어서,
    상기 보안 위험 차단 단계는,
    관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 보안관제 서비스 방법.
  3. 제1항에 있어서,
    상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 하는 보안관제 서비스 방법.
  4. 제3항에 있어서,
    상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되,
    상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 하는 보안관제 서비스 방법.
  5. 제1항에 있어서,
    보안 이벤트에 대한 블랙 리스트를 저장하는 단계;를 더 포함하되,
    상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 하는 보안관제 서비스 방법.
  6. 정보시스템에 접속 시도 또는 접속하여 보안 이벤트를 발생시키는 단말;
    관리 단말; 및
    상기 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하고, 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하여, 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하고, 그 결과를 상기 관리 단말에 보고하고, 보안 데이터를 업데이트하는 보안관제 서비스 장치;를 포함하는 보안관제 서비스 시스템.
  7. 제6항에 있어서,
    상기 보안관제 서비스 장치는,
    상기 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하고 리턴되는 지시에 따라 보안관제 서비스를 수행하는 것을 특징으로 하는 보안관제 서비스 시스템.
  8. 제6항에 있어서,
    상기 보안관제 서비스 장치는,
    상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 하는 보안관제 서비스 시스템.
  9. 제8항에 있어서,
    상기 보안관제 서비스 장치는,
    상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되,
    상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 하는 보안관제 서비스 시스템.
  10. 제6항에 있어서,
    상기 보안관제 서비스 장치는,
    보안 이벤트에 대한 블랙 리스트를 저장하고,
    상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 하는 보안관제 서비스 시스템.

KR1020180137817A 2018-11-12 2018-11-12 보안관제 서비스 방법 및 그를 위한 장치 Ceased KR20200054495A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180137817A KR20200054495A (ko) 2018-11-12 2018-11-12 보안관제 서비스 방법 및 그를 위한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180137817A KR20200054495A (ko) 2018-11-12 2018-11-12 보안관제 서비스 방법 및 그를 위한 장치

Publications (1)

Publication Number Publication Date
KR20200054495A true KR20200054495A (ko) 2020-05-20

Family

ID=70919593

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180137817A Ceased KR20200054495A (ko) 2018-11-12 2018-11-12 보안관제 서비스 방법 및 그를 위한 장치

Country Status (1)

Country Link
KR (1) KR20200054495A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112969184A (zh) * 2021-02-07 2021-06-15 中国联合网络通信集团有限公司 6g网络的内生安全控制方法、电子设备及存储介质
KR20250032898A (ko) * 2023-08-30 2025-03-07 주식회사 코드원 보안 로그 데이터의 처리 상황을 시각화하여 제공하는 방법 및 보안 운영장치, 컴퓨터 프로그램
KR102900401B1 (ko) * 2025-04-11 2025-12-16 주식회사 라코어 게이트웨이를 통과하는 네트워크 트래픽 기반으로 보안 솔루션을 제공하기 위한 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112969184A (zh) * 2021-02-07 2021-06-15 中国联合网络通信集团有限公司 6g网络的内生安全控制方法、电子设备及存储介质
KR20250032898A (ko) * 2023-08-30 2025-03-07 주식회사 코드원 보안 로그 데이터의 처리 상황을 시각화하여 제공하는 방법 및 보안 운영장치, 컴퓨터 프로그램
KR102900401B1 (ko) * 2025-04-11 2025-12-16 주식회사 라코어 게이트웨이를 통과하는 네트워크 트래픽 기반으로 보안 솔루션을 제공하기 위한 장치 및 방법

Similar Documents

Publication Publication Date Title
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
US10250624B2 (en) Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space
US20190173909A1 (en) Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
CN112153047B (zh) 一种基于区块链的网络安全运维及防御方法及系统
CN104144063A (zh) 基于日志分析和防火墙安全矩阵的网站安全监控报警系统
KR102414334B1 (ko) 자율협력주행 도로인프라 위협탐지 방법 및 장치
CN118337512A (zh) 一种基于深度学习的网络信息入侵检测预警系统及方法
CN112968885B (zh) 一种边缘计算平台安全防护方法和装置
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
CN113839935A (zh) 网络态势感知方法、装置及系统
CN112839031A (zh) 一种工业控制网络安全防护系统及方法
CN115766235A (zh) 一种网络安全预警系统及预警方法
CN113382076A (zh) 物联网终端安全威胁分析方法及防护方法
CN119966659A (zh) 一种多层次动态网络攻击检测与响应方法
CN120658507A (zh) 一种用于网络数据异常的安全隔离交换方法及系统
KR20200054495A (ko) 보안관제 서비스 방법 및 그를 위한 장치
CN118555101A (zh) 一种基于企业安全业务的网络安全运营系统
KR20220083046A (ko) Erp 시스템의 로그추출에 의한 효과적인 머신러닝 시스템
KR101237376B1 (ko) 스마트폰 통합 보안 관제 시스템 및 방법
CN117014203A (zh) 一种卫星网络自适应安全服务系统及方法
CN117201062A (zh) 一种网络安全感知系统、方法、设备及存储介质
CN114301796B (zh) 预测态势感知的验证方法、装置及系统
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN117201044A (zh) 工业互联网安全防护系统及方法

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

T12-X000 Administrative time limit extension not granted

St.27 status event code: U-3-3-T10-T12-oth-X000

E601 Decision to refuse application
PE0601 Decision on rejection of patent

St.27 status event code: N-2-6-B10-B15-exm-PE0601

P22-X000 Classification modified

St.27 status event code: A-2-2-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-2-2-P10-P22-nap-X000